(Organization) Restrict Personal Access Token creation.

Prečo je to dôležité

Osobné prístupové tokeny (PAT) predstavujú silnú metódu overovania pre Azure DevOps, ktorá obchádza bežné interaktívne prihlasovacie toky. Keď môže ktorýkoľvek člen organizácie vytvárať PAT bez obmedzení, výrazne sa zvyšuje riziko úniku poverení, laterálneho pohybu a neoprávneného prístupu k vašim CI/CD pipeline. Obmedzenie vytvárania PAT len na tých, ktorí to naozaj potrebujú, je základným bezpečnostným opatrením na ochranu vašej vývojovej infraštruktúry.

Čo kontroluje Aether365

Aether365 overuje, či vaša organizácia Azure DevOps má zavedené pravidlá, ktoré obmedzujú, ktorí používatelia môžu vytvárať osobné prístupové tokeny. Táto kontrola sa zobrazuje vo vašom dashboarde Aether365 v kategórii microsoft-365 security.

Ako to opraviť

Ak chcete obmedziť vytváranie PAT pre vašu organizáciu Azure DevOps:

1. Prihláste sa do svojej organizácie Azure DevOps ako správca kolekcie projektov (Project Collection Administrator).
2. Prejdite do nastavení organizácie (ikona ozubeného kolieska v ľavom dolnom rohu).
3. V sekcii Security vyberte možnosť Policies.
4. Nájdite nastavenie s názvom "Allow public projects" a uistite sa, že je vypnuté (Off), ak nepotrebujete verejné projekty.
5. Pre podrobnejšie riadenie prejdite na Organization Settings, potom Security a potom Permissions.
6. V zozname bezpečnostných povolení nájdite povolenie "Create Personal Access Tokens".
7. Nastavte toto povolenie na "Deny" pre skupiny alebo používateľov, ktorí by nemali mať povolené vytvárať PAT. Pre skupiny, ktoré potrebujú vytvárať PAT, ponechajte nastavenie "Allow" alebo "Not set."
8. Uložte zmeny a overte, že iba autorizovaní používatelia si zachovali schopnosť generovať nové tokeny.

Súlad

• Toto opatrenie je v súlade s osvedčenými bezpečnostnými postupmi, ale v zdrojových údajoch nie je priamo priradené ku konkrétnemu rámcu zhody.

Súvisiace zdroje

• V zdrojových údajoch nie sú uvedené žiadne.